Gerade habe ich eine Infomail des ansich stets sehr vorbildlichen Kreditvermittlers Bon-Kredit erhalten. Zu meinem Entsetzen musste ich jedoch feststellen, dass ganz am Ende der Mail meine Zugangsdaten angehängt waren - als Plaintext! Sowohl meine PartnerID als auch mein Passwort sind so für jedermann einsehbar, der ein wenig mehr vom Internet und seiner Technik versteht als der Otto-Normal-Surfer.

Ich habe mich schon oft gefragt, warum einige Programmbetreiber nicht so richtig auf den Schutz der Kundendaten achten. Meistens fängt es schon während der Anmeldung an:

Wenn der Partner die Möglichkeit hat, sein Passwort bei der Anmeldung selber auszuwählen, sollte ein verschlüsstelter Tranfser (SSL/TLS) der Daten gewährleistet sein. Nicht nur im Hinblick auf das Passwort, sondern auch auf die Bankverbindung wäre das sehr beruhigend! Es besteht dann auch NICHT die Notwendigkeit, dass Passwort noch einmal unverschlüsselt per Mail zugesandt zu bekommen!

Wird ein Random-Passwort generiert und per Mail übermittelt, sollte der Partner im Partnerbereich als erstes ein neues Passwort eingeben müssen! Besser wäre es natürlich, das Passwort garnicht erst zu mailen, sondern es ihm nach der Anmeldung anzuzeigen und aufdringlich darauf aufmerksam zu machen, dieses Passwort zu notieren!

Zur Passwort-Recovery: auch hier wird oftmals das vergessene Passwort im Plaintext per Mail zugesandt. Hier sollten alle Alarmglocken sofort anspringen, denn das heißt, dass das Passwort offensichtlich unverschlüsselt in der Datenbank gespeichert wurde oder es einen Algorythmus zum Entschlüsseln gibt - beides fatale Faux-Pas! (wir erinnern uns sicher alle an den Fall Layer-Ads…).
Passwörter müssen immer und ohne Ausnahmen one-way-verschlüsselt werden!
Eine ordentliche Recovery sollte einen Link an die angegebene Emailadresse des Partners schicken , welcher die Neuwahl eines Passwortes über eine per SSL/TLS gesicherte Recovery-Seite erlaubt. Dieses Verfahren wird zum Beispiel von Xing.com angewandt.

Des Weiteren muss grundsätzlich eine Verschlüsselung zum Einsatz kommen, sobald Kundendaten übermittelt werden. Selbstverständlich auch schon bei der Anmeldung!